Разрешения на Microsoft
Когато свържете Microsoft 365 tenant към Aether365, вашият Global Administrator одобрява набор от разрешения само за четене на екрана за съгласие на Microsoft. Тази страница описва всяко разрешение, неговия тип и защо е необходимо.
Ключови точки
- Всички разрешения са на ниво приложение (не са делегирани на потребител)
- Всички разрешения са само за четене - Aether365 не може да създава, променя или изтрива данни във вашия tenant
- Разрешенията се предоставят еднократно чрез съгласието на Global Admin и остават валидни, докато не разкачите tenant-а или не изтриете service principal-а на Aether365 от вашия tenant
- Можете да прегледате и отмените разрешенията по всяко време от Microsoft Entra admin center > Enterprise Applications > Aether365
Справка за разрешенията
Колоната Използва се от показва кой тип сканиране изисква разрешението: C = Compliance сканиране, E = Exposure сканиране, C+E = и двата.
| Разрешение | Тип | Използва се от | Защо е необходимо |
|---|---|---|---|
AccessReview.Read.All | Application | E | Четене на дефиниции и резултати от прегледи на достъпа за проверки на управлението |
AppCatalog.Read.All | Application | E | Четене на записи в каталога на корпоративни приложения и политики за одобрение |
Application.Read.All | Application | E | Четене на регистрации на приложения и конфигурации на удостоверения |
AuditLog.Read.All | Application | E | Четене на одитни журнали и журнали за влизане, необходими за проверки по EIDSCA и CISA |
ConsentRequest.Read.All | Application | E | Четене на потребителски заявки за съгласие и състояние на работния поток за администраторско съгласие |
CrossTenantInformation.ReadBasic.All | Application | E | Четене на настройки за кръстосан достъп между tenant-и за проверки на B2B сътрудничество |
DeviceManagementApps.Read.All | Application | E | Четене на политики за защита и конфигуриране на приложения в Intune |
DeviceManagementConfiguration.Read.All | Application | E | Четене на политики за конфигуриране на устройства в Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Четене на инвентара на управлявани устройства и състоянието на съответствие |
DeviceManagementRBAC.Read.All | Application | E | Четене на присвоявания на RBAC роли в Intune |
Directory.Read.All | Application | C+E | Четене на потребители, групи, service principal-и и обекти в директорията за оценка на конфигурацията на идентичността |
DirectoryRecommendations.Read.All | Application | E | Четене на препоръки от Entra ID за подобряване на сигурността |
EntitlementManagement.Read.All | Application | E | Четене на пакети за достъп и политики за управление на права |
ExternalConnection.Read.All | Application | E | Четене на външни връзки и конектори за проверки за излагане на данни |
GroupMember.Read.All | Application | E | Четене на членство в групи за оценка на наследяването на роли и разрешения |
IdentityProvider.Read.All | Application | E | Четене на конфигурирани доставчици на идентичност и настройки за федерация |
IdentityRiskEvent.Read.All | Application | E | Четене на засечени рискови събития от Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Четене на рискови потребители от Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Четене на настройки на пощенски кутии в Exchange Online за CIS проверки на имейл сигурността |
Organization.Read.All | Application | C+E | Четене на конфигурация на ниво tenant, присвоявания на лицензи и профил на организацията |
Policy.Read.All | Application | C+E | Четене на политики за условен достъп, политики за сила на удостоверяване и други политики за сигурност |
Policy.Read.ConditionalAccess | Application | E | Четене на детайли за политики за условен достъп за проверки за неправилна конфигурация |
PrivilegedAccess.Read.AzureAD | Application | E | Четене на настройки за допустимост и активиране на PIM роли |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Четене на графици за допустимост на PIM групи |
Reports.Read.All | Application | C+E | Четене на отчети за използване и активност при влизане, необходими за проверки по CIS и CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Четене на графици за допустимост на PIM роли за проверки на достъп точно навреме |
RoleManagement.Read.All | Application | C+E | Четене на присвоявания на роли в Entra ID за засичане на акаунти с прекомерни привилегии |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Четене на PIM политики, приложени към присвоявания на роли на групи |
SecurityEvents.Read.All | Application | C+E | Четене на сигурностни предупреждения и събития за оценка на излагането на заплахи |
SharePointTenantSettings.Read.All | Application | E | Четене на настройки за споделяне и сигурност на ниво SharePoint tenant |
Sites.Read.All | Application | E | Четене на конфигурации на SharePoint сайтове и настройки за споделяне |
Team.ReadBasic.All | Application | E | Четене на настройки на Teams екипи за оценка на контролите за външен достъп и федерация |
TeamsAppInstallation.ReadForUser.All | Application | E | Четене на инсталирани Teams приложения за засичане на неодобрени приложения на трети страни |
User.Read.All | Application | C+E | Четене на потребителски профили, настройки за влизане и присвоявания на лицензи |
UserAuthenticationMethod.Read.All | Application | C+E | Четене на регистрирани MFA методи за проверка на силата на удостоверяване за всеки потребител |
Преглед на предоставените разрешения
За да проверите кои разрешения има Aether365 във вашия tenant:
- Влезте в Microsoft Entra admin center
- Отидете на Enterprise Applications
- Потърсете "Aether365"
- Изберете приложението и отворете Permissions
Страницата с разрешения показва всички одобрени разрешения заедно с информация кой е дал съгласието и кога.
Отмяна на разрешенията
За да отмените всички разрешения на Aether365 от tenant:
- В Microsoft Entra admin center > Enterprise Applications изберете Aether365
- Натиснете Delete, за да премахнете service principal-а изцяло
Това отменя всички разрешения и спира Aether365 от достъпа до tenant-а. Бъдещите опити за сканиране на този tenant ще са неуспешни. За да спрете сканиранията, разкачете също tenant-а в таблото на Aether365 (Settings > Connections).
Въпроси
Ако имате въпроси относно конкретно разрешение или трябва да обсъдите обхвата на разрешенията за Enterprise внедряване, свържете се с security@aether365.io.